[英]Deriving FROM existing Dockerfile + setting USER to non-root
我正在嘗試找到一個通用的最佳實踐來:
FROM... ),我已經搜索和嘗試了好幾天,但一直未能找到令人滿意的解決方案。
我想提出一種方法,例如類似於以下內容,只是為了調整用戶,原始服務運行為:
FROM mariadb:10.3
RUN chgrp -R 0 /var/lib/mysql && \
chmod g=u /var/lib/mysql
USER 1234
但是,我一次又一次遇到的問題是,每當父Dockerfile 將某些路徑聲明為VOLUME (在上面的示例中實際上是VOLUME /var/lib/mysql )時,這實際上使子Dockerfile 無法調整文件權限對於該特定路徑。 在這種情況下chgrp和chmod無效,因此由於文件訪問權限問題,生成的 docker 容器將無法成功啟動。
我知道VOLUME指令是按設計方式工作的,以及為什么會這樣,但對我來說,它似乎完全阻止了給定問題的簡單解決方案:采用 Dockerfile 並以簡單、干凈和簡約的方式對其進行調整以非 root 而不是 root 身份運行。
背景是:我正在嘗試在 Openshift 集群上運行任意 Docker 圖像。 默認情況下,Openshift 會阻止以 root 身份運行容器,我想保持這種方式,因為它看起來很理智,並且朝着正確的方向邁出了一步,安全方面。
這意味着像gosu這樣的解決方案,期望容器以 root 身份啟動以便在運行時放棄特權,在這里還不夠好。 我想要一種方法,它根本不需要容器以 root 身份啟動,而只需要以指定的USER甚至隨機 UID 身份啟動。
到目前為止,我發現的不滿意的方法是:
sed / awk在構建期間通過所有服務的配置文件將原始VOLUME路徑替換為備用路徑,因此chgrp和chmod可以工作(使原始VOLUME路徑成為孤立的)。我真的不喜歡這些方法,因為它們需要真正深入了解父Dockerfile 的邏輯和基礎架構以及服務本身的運行方式。
所以必須有更好的方法來做到這一點,對吧? 我錯過了什么? 非常感謝您的幫助。
卷掛載點的權限根本不重要,掛載覆蓋了任何底層權限。 此外,您可以在 Kubernetes 級別設置這種東西,而不用擔心 Dockerfile。 這通常是一個 PodSecurityPolicy,但您也可以在 Pod 本身的 SecurityContext 中設置它。
在 Dockerfile 中設置非 root 用戶並安裝 pip 包
[英]Setting a non-root user in a Dockerfile and installing pip packages
非 root 用戶 dockerfile 中 USER 指令的確切順序
[英]Exact sequence of USER instruction in dockerfile for non-root user
如何使用 R + Anaconda3 + 非 root 用戶創建 Dockerfile
[英]How to create Dockerfile with R + Anaconda3 + non-root User
Dockerfile - 創建非 root 用戶幾乎會使圖像大小翻倍
[英]Dockerfile - Creating non-root user almost doubles the image size
為什么 dockerfile ENV 不能為非 root 用戶覆蓋 $PATH?
[英]Why dockerfile ENV cannot override $PATH for non-root user?
如何從 Dockerfile 為 OpenShift 創建具有非 root 訪問權限的映像?
[英]How to create an Image with non-root access from a Dockerfile for OpenShift?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.